Dati dei clienti in discarica, 28 mln USD di multa a Home Depot

Liberarsi dei dati personali non è così facile come sembra. Quando ci si vuole disfare di strumenti o documenti contenenti dati personali bisogna ricordarsi di prendere opportuni accorgimenti affinché le informazioni ivi contenute non siano accessibili durante l’ultima fase del ciclo di vita.

Una forma di attenzione che non è stata osservata da Home Depot, la più grande catena statunitense di distribuzione al dettaglio di prodotti per la casa, che ha mandato in discarica una montagna di documentazione cartacea senza distruggere o rendere illeggibili i dati dei clienti (tra cui nome, indirizzo, telefono, e-mail). Oltre a questo, le autorità che hanno ispezionato i centri di smaltimento utilizzati da Home Depot hanno rinvenuto prodotti pericolosi – quali solventi, batterie pesticidi ed altri materiali tossici per l’ambiente – depositati in processi di smaltimento senza differenziazione.

L’insieme delle violazioni contestate ha portato il colosso commerciale ad accettare un accordo con lo Stato della California in virtù del quale la compagnia con base in Georgia dovrà:

pagare 27,8 milioni di dollari di multa;
garantire la pronta implementazione di correttivi, ivi compresa la distruzione/cancellazione dei dati personali contenuti nei supporti destinati allo smaltimento.

In Italia, per quanto concerne lo smaltimento dei rifiuti elettrici ed elettronici (RAEE), ci sono delle norme da osservare anche con riguardo al destino dei dati ivi archiviati. La raccolta e il riciclo dei rifiuti elettrici ed elettronici sono disciplinate a livello europeo dalla Direttiva 2012/19/EU. In Italia, il legislatore è intervenuto in diverse occasioni per disciplinare la raccolta e il riciclo dei rifiuti speciali prodotti dai dispositivi elettrici ed elettronici. Il D.Lgs. 151/2005 recepisce la prima direttiva europea al riguardo e stabilisce il Sistema di gestione dei RAEE in Italia. A oggi, la normativa di riferimento per lo smaltimento RAEE in Italia è rappresentata dal D.Lgs. 49/2014.

Quando i supporto elettronico contengono dati personali, si attiva la disciplina di privacy ed è necessario fare riferimento al Provvedimento del Garante Privacy del 13 ottobre 2008. Prima di inviare il prodotto alla fase di smaltimento o riciclo è necessario rendere impossibile l’accesso alle memorie: a seconda dei casi (e della delicatezza dei dati), sarà opportuno distruggere fisicamente i supporti oppure procedere o a cancellazione sicura dei dati tramite appositi programmi informatici (quali wiping program o file shredder). Sempre nel 2008, il Garante ha prodotto una scheda informativa con alcuni consigli per procedere a cancellazione sicura delle memorie prima di destinare i supporti all’e-waste.

Oggi, per chi deve smaltire o reimmettere dispositivi elettronici sul mercato (ad es., leasing di strumentazione informatica, di telefonia mobile, di smart vehicle, etc.), conviene – sebbene siano soluzioni che hanno un costo – ricorrere a sistemi di cancellazione certificata delle memorie per evitare il rischio che qualcuno possa accedere ai dati della “vita precedente” di un prodotto e, soprattutto, della persona che lo aveva in uso. Eseguito il wiping, i fornitori dei servizi di cancellazione certificata forniscono attestati e report al cliente.

La vicenda di Home Depot insegna, tuttavia, che – sebbene il 95% dei dati sia, nella digital society in cui viviamo, processato su supporti informatici – non ci dobbiamo mai dimenticare della carta.

Anzi, proprio per il fatto che siamo ancora nel pieno della digital tranformation, l’attenzione dovrà esser mantenuta alta: le aziende, gli studi professionali e le Pubbliche Amministrazioni coinvolte nella transizione verso la dematerializzazione vorranno liberarsi della carta man mano che avranno terminato di riversare in elettronico questo o quel processo. Per disfarsi delle informazioni stampate su quintali di documentazione cartacea figlie della precedente modalità di gestione, non basterà – se non si vuole incappare in sanzioni – gettare tutto in discarica.

Se infatti è vero che per il cartaceo contenente dati personali non ci sono regole di dettaglio come quelle riservate ai rifiuti RAEE, i principi generali della normativa di privacy sono pienamente operativi e chiari: terminato il trattamento, i dati devono essere distrutti o resi irreversibilmente anonimi.

Per maggiori informazioni sulla vicenda Home Depot, leggi qui su The Press Enterprise.

Sezioni

Categorie

Artificial Intelligence

Big Data

Biometria

Cloud

Data Transfer

Droni

E-commerce

Finance & Insurance

GDPR

Internet of Things

Lavoro

Localization

Marketing

Minori

News

Oblio

P.A.

Salute & E-health

Search Engine

Security & Cybercrime

Smart City & Life

Smart Device

Social Media

Sorveglianza Governativa

Varie

Videosorveglianza